Presentation is loading. Please wait.

Presentation is loading. Please wait.

امنیت اطلاعات و ضرورت آن

Published byΠάρις Δασκαλοπούλου Modified over 6 years ago

Similar presentations

Presentation on theme: "امنیت اطلاعات و ضرورت آن"— Presentation transcript:

1 امنیت اطلاعات و ضرورت آن
حمید رضا شهریاری استادیار دانشگاه صنعتی امیرکبیر (نسخه اولیه اسلایدها توسط آقای دکتر امینی تهیه شده اند) اسفند 1390

2 فهرست مطالب مقدمه حوادث و رخدادهای امنیتی رشد قابل توجه رخدادها
توزيع آلودگي در دنيا و ايران جنگ سايبري مبانی امنیت اطلاعات تعاریف و مفاهیم اولیه تهدیدات و حملات اقدامات امنیتی نااَمني و مديريت امنيت اطلاعات جمع‏بندی

3 مقدمه

4 مقدمه زندگي وابسته به رشته‌هاي بيتي روي خطوط ارتباطي
روند روبه‌رشد استفاده از شبكه در شركت‌ها و سازمانها (به خصوص اينترنت) افزایش دسترسی و افزایش تهدیدات الکترونیکی

5 حوادث و رخدادهای امنیتی رشد قابل توجه رخدادها
حوادث و رخدادهای امنیتی رشد قابل توجه رخدادها

6 میزان رخدادهای امنیتی گزارش شده توسط مرکز مدیریت رخداد CERT
رشد رخدادهای امنیتی میزان رخدادهای امنیتی گزارش شده توسط مرکز مدیریت رخداد CERT تعداد رخدادها

7 رشد ابزار و کاهش دانش حمله
زیاد ابزار مهاجمان Packet Forging Spoofing Internet Worms DDoS Sniffers Back Doors Sweepers Exploiting Known Vulnerability Disabling Audits Self Replicating Code Password Cracking Password Guessing دانش مهاجمان کم

8 رشد حملات از دو نمودار قبلی بخوبی پيداست :
تعداد حملات عليه امنيت اطلاعات به طور قابل ملاحظه‌ای افزايش يافته است. امروزه تدارک حمله با در اختيار بودن ابزارهای فراوان در دسترس به دانش زيادی احتياج ندارد (بر خلاف گذشته).

9 نگاهي به گزارش DTI انگليس

10 نگاهي به گزارش DTI انگليس

11 نگاهي به گزارش DTI انگليس

12 نگاهي به گزارش DTI انگليس
متوسط هزينه‏هاي مرتبط با يك حادثه سنگين امنيتي در سازمانها سازمانهاي بزرگ (معادل به ميليون تومان) سازمانهاي كوچك 340 – 646 5/25 – 51 تسلسل و وقفه در كسب و كار 10/2 – 20/4 1/02 – 2/55 زمان صرف شده براي مقابله با حادثه 42/5 - 68 6/8 – 11/9 هزينه‏هاي مستقيم مقابله با حادثه 5/1 – 8/5 خسارات مالي مستقيم (خسارت به داراييها، حسابهای مالي و...) 25/5 - 34 8/5 - 17 خسارات مالي غيرمستقيم (از دست دادن حق مالكيت معنوي و ...) 25/ 0/17 – 1/7 لطمه به شهرت و اعتبار 46/75 – 93/5 متوسط كل هزينه يك حادثه سنگين امنيتي (2010) متوسط كل هزينه يك حادثه سنگين امنيتي (2008)

13 حوادث و رخدادهای امنیتی توزیع آلودگی در دنیا و ایران
حوادث و رخدادهای امنیتی توزیع آلودگی در دنیا و ایران

14 توزیع سایت‏های فیشینگ در دنیا در 6 ماه دوم 2010 (گزارش SIR)

15 توزیع سیستم‏های آلوده توزیع سیستم‏های آلوده به بدافزار در دنیا در 6 ماهه دوم 2010 (گزارش SIR)

16 توزیع سایت‏های آلوده‏ساز
توزیع سایت‏های آلوده‏ساز در دنیا در 3 ماهه چهارم 2010 (گزارش SIR)

17 حوادث و رخدادهای امنیتی جنگ سایبری
حوادث و رخدادهای امنیتی جنگ سایبری

18 جنگ سایبری جنگ عراق و آمریکا (1991) ایجاد اختلال در سيستم ضدهوايي عراق
توسط نيروي هوايي آمريكا با استفاده از ويروسي با نام AF/91 انتقال از طریق چيپ پرینتر آلوده به ويروس از مسير عمان و سوريه هر چند بعدها درستي موضوع تاييد نشد! وليكن ...

19 جنگ سایبری حمله سايبري روسيه به استوني (2007)
حمله به وزارتخانه‏ها، بانك‏ها، و رسانه‏ها حمله از طريق سِروِرهاي اداري تحت كنترل روسيه

20 جنگ سایبری حمله .... به تاسيسات هسته‏اي ایران (2010)
از طريق ويروس Stuxnet آلوده‏سازي سيستم‏هاي كنترل صنعتي و PLCها هدف: مطابق گزارش سیمانتک آلوده‏سازي سانتريفيوژها بوده است.

21 حملات سایبری حمله به تاسسیات آب در Springfield آمریکا (2011)
نفوذ به تجهیزات اسکادا و تخریب پمپ آب نفوذ ابتدا به شرکت همکار پشتیبان سیستم انجام شده و از آنجا به سیستمهای کنترل منبع:

22 مبانی امنیت اطلاعات تعاریف و مفاهیم اولیه
مبانی امنیت اطلاعات تعاریف و مفاهیم اولیه

23 امنيت چيست؟ امنيت به (طور غیر رسمی) عبارتست از حفاظت از آنچه براي ما ارزشمند است. در برابر حملات عمدي در برابر رویدادهای غیرعمدی

24 I C A تعریف امنیت امنيت اطلاعات مبتنی است بر تحقق سه ويژگی زیر:
محرمانگي (Confidentiality) عدم افشای غيرمجاز داده‌ها صحت (Integrity) عدم دستكاري داده‌ها توسط افراد يا نرم‌افزارهاي غيرمجاز دسترس‌پذيري (Availability) دسترسی به داده هاتوسط افراد مجاز در هر مكان و در هرزمان C A

25 سرويس‌هاي امنيتي امنیت اطلاعات مبتنی است بر ارائه سرویس‏های امنیتی زیر: حفظ صحت داده‌ها (Integrity) حفظ محرمانگي داده‏ها (Confidentiality) احراز اصالت (Authentication) کنترل دسترسی (Access Control) عدم‌انكار (Non-repudiation) دسترس پذيری (Availability)

26 تعاریف و مفاهیم اولیه خط‌مشی (سياست) امنيتی(Security Policy): نيازمنديهای امنيتی يک سازمان و يا يك سيستم اطلاعاتی/ ارتباطی را بيان می‌نمايد. در تعريف سياست‌هاي امنيتي: بايد بدانيد تا چه اندازه و در چه نقاطي نياز به اقدامات محافظتي داريد. سیاستهای سازمان در دسترسی افراد به منابع اطلاعاتی چیست؟ بايد بدانيد چه افرادي، چه مسؤوليت‌هايي در اجراي اقدامات محافظتي سازمان دارند.

27 تعاریف و مفاهیم اولیه آسيب‌پذيری (Vulnerability): ویژگی یا نقطه ضعفی در سیستم که می توان از آن سوءاستفاده کرد و امنیت سیستم را نقض کرد. حمله(Attack) : تلاش برای يك نفوذ عمدي در يك سيستم اطلاعاتي/ ارتباطي، حمله گفته مي‌شود (معمولاً با بهره‌گيري از آسيب‌پذيري‌هاي موجود). نفوذ (Intrusion): نتیجه یک حمله موفق و نقض امنیت سیستم.

28 تعاریف و مفاهیم اولیه مکانيزم امنيتي (Security Mechanism): به هر روش، ابزار و يا رويه‌اي كه براي اعمال يك سياست امنيتي به كار مي‌رود، يك مكانيزم امنيتي گويند.

29 مبانی امنیت اطلاعات تهدیدات و حملات
مبانی امنیت اطلاعات تهدیدات و حملات

30 منشأ تهديدات امنيتي منشأ تهدیدات امنیتی افراد (عوامل انسانی)
نرم‌افزارها

31 تهديد – عامل انساني انواع مهاجمان هكرهای کلاه قرمز/سیاه
كارمندان ناراضي رقيبان داخلي رقيبان خارجي دولت‌هاي خارجي

32 تهديد – عامل نرم‌افزاري
برنامه‌هاي كاربردي به دو صورت مي‌توانند عامل خطر باشند: برنامه‌هايي كه بطور عمدي براي ايجاد تهديد ساخته مي‌شوند. برنامه‌هايي كه بطور غيرعمدي اشكالاتي در آنها وجود دارد. بدافـزارها برنامه‏های آسیب‏پذیر

33 بدافزارها بدافزار (Malware): یک قطعه کُد، اسکریپت، و یا برنامه که به قصد خرابکاری و اختلال در امنیت سیستم‏ها یا شبکه‏ها منتشر می‏شود. اهداف خرابکارانه بدافزارها: دزدی اطلاعات محرمانه و نقض حریم خصوصی (مثلا اطلاعات بانکی) کندی و ایجاد وقفه و اختلال در سیستم‏ها و سرویس‏دهی تخریب و تغییر اطلاعات سوءاستفاده از منابع و سرویس‏ها

34 بدافزارها ویروس (Virus)
يك قطعه برنامه کوچک با انتشار از طریق چسبیدن به دیگر فایلها کرم (Worm) برنامه كوچك مستقل با توانايي كپي شدن و بیشتر انتشار از طریق شبکه اسب تروا (Trojan Horse) مخفی در يك برنامه مفيد يا به صورت يك برنامه به ظاهر مفيد بات (Bot) شبکه بات (Botnet) فراهم نمودن امکان کنترل تعدادی سیستم قربانی برای مقاصد سوء و انجام حملات جمعی توزیع‏شده

35 مبانی امنیت اطلاعات اقدامات امنیتی
مبانی امنیت اطلاعات اقدامات امنیتی

36 اقدامات امنيتي پیشگیری (Prevention) جلوگیری از خسارت
تشخیص و ردیابی (Detection & Tracing) تشخیص (Detection) میزان خسارت هویت دشمن کیفیت حمله (زمان، مکان، دلایل حمله، نقاط ضعف...) پاسخ (Reaction) ترمیم، بازیابی و جبران خسارات جلوگیری از حملات مجدد تشخیص Detection پاسخ Reaction پیشگیری Prevention

37 اقدامات امنیتی مراتب مقابله با نفوذ و تهاجم در سیستم اطلاعاتی / ارتباطی پيشگيري تشخيص ترميم تهاجمات و حملات شناسايي و احراز هويت كنترل دسترسي حفاظ (ديواره آتش) رمزنگاري و امضاي ديجيتال سیستم تشخیص نفوذ (IDS) سیستم همبسته‏ساز رویدادها سیستم تله‏عسل (Honeypot) تکرار داده ها و سیستمها پشتیبان گیری

38 مبانی امنیت اطلاعات ناامني و مديريت امنيت اطلاعات
مبانی امنیت اطلاعات ناامني و مديريت امنيت اطلاعات

39 ضعف مدیریتی دلايل ناامني سیستم‌ها ضعف فناوري
پروتكل، سيستم عامل، تجهيزات ضعف تنظيمات رهاكردن تنظيمات پيش‌فرض، گذرواژه‌هاي نامناسب، عدم استفاده از رمزنگاري، راه‌اندازي سرويس‌هاي اينترنت بدون اعمال تنظيمات لازم، ... ضعف سياست‌گذاري عدم وجود سياست امنيتي عدم وجود طرحي براي مقابله و بازيابي مخاطرات نداشتن نظارت امنيتي مناسب (مديريتي و فني) ضعف مدیریتی

40 امن‌سازي نگرش مديريتي به مسئلة ‌امنيت لازم است و نه فقط نگرش فني.
امن سازي يک فرآيند است نه يک وظيفه خاص و مقطعی. گستره امنيت تمامي منابع سازمان است و نه تنها كارگزار اصلي. مهاجمين داخلي و مجاز خطر بالقوة‌ بيشتري دارند.

41 چرخه ايجاد امنيت خط‏مشی امنیتی احراز اصالت، فایروال، رمزنگاری، . . .
امن‏سازی پایش تست و آزمون مدیریت و بهبود عملیات شبکه و امنیت سیستم‏های تشخیص نفوذ، تله بدافزار، . . . آزمون نفوذ و آسیب‏پذیری

42 استراتژي امنيت سازماني
مصالحه بين امنيت، کارآيي و عملکرد مصالحه بين امنيت، كارايي و هزينه ميزان امنيت مورد انتظار کاربران؟ ميزان ناامني قابل تحمل سازمان؟ كارآيي عملكرد امنيت

43 دشواري برقراري امنيت امنيت معمولاً قرباني افزايش کارآيي و مقياس پذيري مي‌شود. امنيت بالا هزينه‌بر است. کاربران عادی امنيت را به عنوان مانع در برابر انجام شدن کارها تلقي مي‌کنند و از سياستهاي امنيتي پيروي نمي‌کنند.

44 دشواري برقراري امنيت اطلاعات و نرم‌افزارهاي دور زدن امنيت به طور گسترده در اختيار هستند. برخي دور زدن امنيت را به عنوان يک مبارزه در نظر مي‌گيرند و از انجام آن لذت مي‌برند. ملاحظات امنيتي در هنگام طراحي‌هاي اوليه سيستم‌ها و شبکه‌ها در نظر گرفته نمی‌شود.

45 سیستم مديريت امنيت اطلاعات
نیازمند پیاده‏سازی سیستم مدیریت امنیت اطلاعات در سازمان‏ها ISMS Information Security Management System موضوع سخنرانی بعدی

46 جمع‏بندی

47 سيستم مديريت امنيت اطلاعات
جمع‏بندی امنیت اطلاعات مبتنی است بر حفظ محرمانگی، صحت، و دسترس‏پذیری ضرورت تامین امنیت به واسطه افزایش رخدادها و حوادث نگاهي فرآيندي به تامين امنيت اطلاعات در سازمان و سيستم سيستم مديريت امنيت اطلاعات

48 با تشکر از آقای دکتر امینی برای تهیه نسخه اولیه اسلایدها
با تشکر از توجه شما ... با تشکر از آقای دکتر امینی برای تهیه نسخه اولیه اسلایدها

Download ppt "امنیت اطلاعات و ضرورت آن"

Similar presentations

© Ravi Sandhu www.list.gmu.edu Introduction to Information Security Ravi Sandhu.

© Ravi Sandhu Introduction to Information Security Ravi Sandhu.
Chapter 18: Computer and Network Security Threats

Chapter 18: Computer and Network Security Threats
Hackers, Crackers, and Network Intruders: Heroes, villains, or delinquents? Tim McLaren Thursday, September 28, 2000 McMaster University.

Hackers, Crackers, and Network Intruders: Heroes, villains, or delinquents? Tim McLaren Thursday, September 28, 2000 McMaster University.
1 Telstra in Confidence Managing Security for our Mobile Technology.

1 Telstra in Confidence Managing Security for our Mobile Technology.
Increasing customer value through effective security risk management

Increasing customer value through effective security risk management
Software Security Threats Threats have been an issue since computers began to be used widely by the general public.

Software Security Threats Threats have been an issue since computers began to be used widely by the general public.
Or, How to Spend Your Weekends… Fall 2007 Agenda General Overview of the CISO Arena Technical Security Information Security Strategic Security Kirk Bailey.

Or, How to Spend Your Weekends… Fall 2007 Agenda General Overview of the CISO Arena Technical Security Information Security Strategic Security Kirk Bailey.
INFO498 Information Security Fall 2004 Lesson 1 Barbara Endicott-Popovsky INFO498.

INFO498 Information Security Fall 2004 Lesson 1 Barbara Endicott-Popovsky INFO498.
Threats and Attacks Principles of Information Security, 2nd Edition

Threats and Attacks Principles of Information Security, 2nd Edition
Security Overview. 2 Objectives Understand network security Understand security threat trends and their ramifications Understand the goals of network.

Security Overview. 2 Objectives Understand network security Understand security threat trends and their ramifications Understand the goals of network.
100% Security “ The only system which is truly secure is one which is switched off and unplugged, locked in a titanium lined safe, buried in a concrete.

100% Security “ The only system which is truly secure is one which is switched off and unplugged, locked in a titanium lined safe, buried in a concrete.
Topics in Information Security Prof. JoAnne Holliday Santa Clara University.

Topics in Information Security Prof. JoAnne Holliday Santa Clara University.
The Difficult Road To Cybersecurity Steve Katz, CISSP Security Risk Solutions 631-692-5175 Steve Katz, CISSP Security.

The Difficult Road To Cybersecurity Steve Katz, CISSP Security Risk Solutions Steve Katz, CISSP Security.
E0: Unix System Administration AfNOG 2006 Nairobi, Kenya Security introduction Brian Candler Presented by Hervey Allen.

E0: Unix System Administration AfNOG 2006 Nairobi, Kenya Security introduction Brian Candler Presented by Hervey Allen.
Computer Science and Engineering 1 Csilla Farkas Associate Professor Center for Information Assurance Engineering Dept. of Computer Science and Engineering.

Computer Science and Engineering 1 Csilla Farkas Associate Professor Center for Information Assurance Engineering Dept. of Computer Science and Engineering.
Lecture 10 Intrusion Detection modified from slides of Lawrie Brown.

Lecture 10 Intrusion Detection modified from slides of Lawrie Brown.
Some Practical Security AfNOG 2004 Workshop Hervey Allen May 2004 Liberal borrowing from Brian Candler.

Some Practical Security AfNOG 2004 Workshop Hervey Allen May 2004 Liberal borrowing from Brian Candler.
Computer & Internet Security. Today’s Situation – Universal Access… There are an estimated 304 million people with Internet access. All 304 million of.

Computer & Internet Security. Today’s Situation – Universal Access… There are an estimated 304 million people with Internet access. All 304 million of.
Security System Ability of a system to protect information and system resources with respect to confidentiality and integrity.

Security System Ability of a system to protect information and system resources with respect to confidentiality and integrity.
Communications-Electronics Security Group. Excellence in Infosec.

Communications-Electronics Security Group. Excellence in Infosec.

Similar presentations

Ads by Google